¿CPanel almacena mi contraseña de inicio de sesión como texto simple?

4

Al intentar cambiar la contraseña de cPanel, se me advirtió que:

Your password could not be changed because the new password failed with the following reason : (is too similar to the old one), please try again! 

Lo que es correcto, mis contraseñas antiguas y nuevas difieren en un solo carácter. Sin embargo, eso plantea la pregunta de cómo exactamente el código de cPanel conoce mi contraseña de texto sin formato anterior. ¿No debería ser picado?

    
pregunta Yordan Pavlov 24.07.2014 - 18:02
fuente

3 respuestas

5

Acabo de iniciar sesión en cPanel y cuando hago clic para cambiar mi contraseña, me pide tres cosas:

  1. Mi contraseña anterior
  2. Una nueva contraseña
  3. Confirmación de la nueva contraseña

Captura de pantalla:

También dice que la contraseña anterior no puede estar vacía.

Esto puede no ser exactamente como lo hace cPanel pero, es una posibilidad:

  1. Ya que le ha enviado su contraseña anterior a cPanel, puede hacer un hash y ver si es igual a su contraseña mientras aún guarda una copia de su contraseña no lavada (en la memoria no en el disco)
  2. Ahora, ya que ha confirmado sus hashes de contraseña antigua en el valor correcto, puede realizar pruebas en la versión de texto sin formato (que apenas ha enviado) y dar un error si una de las pruebas falla
  3. Si la nueva contraseña y la confirmación coinciden almacenan la nueva contraseña.

Responda por qué conoce su contraseña anterior:

Se lo dio para que conozca su contraseña anterior y la almacene en la RAM (no en el disco). Esto es asumiendo que se está refiriendo a su última contraseña (la que está cambiando actualmente) y no a una que usó en una iteración previa.

    
respondido por el Travis Pessetto 24.07.2014 - 21:48
fuente
2

Es probable que @Travis Pessetto tenga la respuesta correcta a tu pregunta.

Solo quería señalar que algunos lugares lo harán sin saber su contraseña anterior de texto sin formato. Esto se puede hacer generando permutaciones de su nueva contraseña y comparando cada hash con su hash de contraseña anterior.

Old Hash (Plaintext Unknown):
0bc16e0e8b0ed0be12f1360c70c235dd9f3127280630952e3b933c194ed406f3

New Password:
sha256('password2014')
9e9c74820bebfabb92e40b649e9954bec87f38d63a44f4b2d96eb8f3f4a21548

Check Permutations:
sha256('password2015')
8c1e97296199cc50361b252ba05b5d6b97d389a841185ba8e6fc311b390c69ce
sha256('password2013')
0bc16e0e8b0ed0be12f1360c70c235dd9f3127280630952e3b933c194ed406f3

Match Found! New password is too similar to old password!

Nota: sha256 es un algoritmo de hash rápido, lo usé solo como ejemplo.

    
respondido por el David Houde 24.07.2014 - 22:26
fuente
1

Acabo de recibir un correo electrónico de mi empresa de alojamiento. Era un enlace al nuevo punto de acceso de cPanel para mis sitios, y el correo electrónico incluía mi nombre de usuario y contraseña de cPanel como texto simple. Esto fue perturbador por decir lo menos. Me llevo aquí donde no veo una respuesta verificada, pero creo que sí, se almacena como texto sin formato en algún lugar, a menos que mi empresa de alojamiento lo esté almacenando por su cuenta en algún lugar.

    
respondido por el Taylor Brown 18.01.2018 - 21:35
fuente

Lea otras preguntas en las etiquetas